RDS 目前包含SQL Server 2008 R2 在数据安全方面,提供文件层面的TDE (Transparent Data Encryption)数据加密和链路通信层面的SSL(Secure Sockets Layer)加密。这里主要介绍RDS SQL Server 2008 R2开通SSL后,客户端的设置方法。
注意事项
SSL在传输层对网络连接进行加密,可以提升数据通信的安全性,但同时对性能也会造成一定影响,参考设置SSL加密。
开通SSL
在设置SSL加密中有详细的开通步骤介绍,为了阅读方便,再次重述一遍开通步骤。
1. 登录RDS管理控制台。
2. 选择目标实例所在地域。
3. 单击目标实例的ID,进入基本信息页面。
4. 在左侧菜单栏中选择数据安全性,进入数据安全性页面。
5. 选择SSL标签页。
6. 单击未开通前面的开关。
7. 在设置 SSL对话框中选择要开通SSL加密的链路,单击确定,开通 SSL 加密。
说明:用户可以根据需要,选择加密内网链路或者外网链路,但只可以加密一条链路。
8. 单击下载证书,下载SSL CA证书,如下图所示。
9. 下载的文件为压缩包,包含如下三个文件
- p7b文件:用于Windows系统中导入CA证书。
- PEM文件:用于其他系统或应用中导入CA证书。
- JKS文件:java中的truststore证书存储文件,密码统一为apsaradb,用于java程序中导入CA证书链。
客户端设置
开通SSL加密后,首先需要将证书导入本地的受信任的根证书颁发机构,然后再进行连接,本文以SQL Server Management Studio为例。
1. 开始-->运行-->输入"certmgr.msc"
2. 开始导入受信任证书
A. 展开"证书"节点
B. 右击"受信任的根证书颁发机构"-->"所有任务(K))"-->"导入(I)…"
C. 单击"下一步", 然后选择从控制台下载的证书
D. "下一步"-->"下一步"-->"完成"。
3. 客户端连接,SQL Server Management Studio中勾选"Encrypt connection" ,应用程序的连接字符串中设置"encrypt=true"。